車両サイバーセキュリティの将来 (パート 1): 脅威分析、リスク評価と安全な設計、車両開発における脆弱性分析
車両サイバーセキュリティの将来 (パート 1): 安全なコーディング、セキュリティ テスト、および安全な生産
「車両ネットワークセキュリティの未来」の連載は「上・中・下」の3部に分かれています。この記事は連載の「下」部分であり、中編では車両開発におけるセキュリティコーディングの導入、製造段階でのセキュリティテスト、安全対策のポイントについて具体的に分析してきました。次に、この記事では、工場出荷後の安全対策と具体的な安全保護要件について詳しく説明します。
8. 工場出荷後の安全対策 - ネットワークの安全監視
この章では、車の納車後に必要なセキュリティ活動について説明します。
納入後もセキュリティ活動が必要
従来の自動車開発では、工場出荷前の開発・製造段階で製品の品質を向上させる活動が行われてきました。このシリーズの「中編」の第 7 章で説明したように、納品前のセキュリティ対策は、製品の品質を向上させる対策と同じくらい重要です。しかし、セキュリティの観点からは、いくつかの理由から工場を離れた後も対策が必要です。主な理由は、製品を積極的に攻撃する攻撃者の存在です。
攻撃者が何か新しいことを試みたり、新しい攻撃方法を発見したりすることがあります。製品が市場に出る前のある段階で良い解決策が設計されていても、新たな攻撃手法に対する解決策が存在しない状況が発生する可能性があります。積極的な攻撃者からの攻撃に対処するためには、製品が工場出荷された後のセキュリティ環境の変化を追跡するためのセキュリティ対策を講じる必要があります。
工場出荷後のセキュリティ活動の全体像
ISO/SAE 21434では、講じるべきセキュリティ対策として「ネットワークセキュリティ監視」「脆弱性対応、ファームウェア更新」「インシデント対応」が挙げられている(図15参照)。ネットワークセキュリティ監視とは、車両などを監視し、車両を攻撃する行為を検知することです。脆弱性対応とファームウェアアップデートは、工場出荷後に脆弱性が発見された場合に修復し、車両を安全な状態に更新するためのファームウェアです。インシデント対応の目的は、攻撃検知後の攻撃内容に応じて被害の発生を防ぐことです。この中で中心的な役割を担うのが、製品セキュリティ内部対応チーム (PSIRT) です。
IT業界でも同様の取り組みが行われている。イベント内容やIT業界のノウハウを自動車にどう応用できるかが重要なポイントとなる。
図15:納入後のセキュリティ活動の全体状況
「ネットワークセキュリティ監視」キャンペーン
ネットワークセキュリティ監視とは、ネットワークセキュリティインシデント事例や脅威情報、脆弱性情報など、当社製品に関わるネットワークセキュリティ情報を取得・分析することを指します。ネットワークセキュリティ情報は、政府機関やセキュリティベンダーが提供する外部情報と、社内評価で見つかった脆弱性情報など企業の内部情報に分かれます。
外部から情報を得る場合には、有料・無料のさまざまな情報源を適切に選択し、継続的かつタイムリーに情報を収集する必要があります。現時点では車両への襲撃事件や事件情報はあまり報道されていない。車両に関する製品の脆弱性情報が多数報告されています。この情報の可用性を確保し、報告された情報が自社に関連するかどうか、またその情報がどの程度の影響を与えるかを適切に判断するには、運用システムを整備する必要があります。
内部情報の 1 つは、内部評価およびセキュリティ テスト活動中に発見された脆弱性情報です。これが見つかった場合は、必要な改修作業と製品への展開を行う必要があります。詳細については、次の章の「バグ修正とファームウェアのアップデート」を参照してください。
また、企業内での攻撃情報の入手対策として、車載のIDS(侵入検知システム)やSoC(セキュリティオペレーションセンター)/SIEM(セキュリティ情報およびイベント管理)の導入を推進しています。その目標は、外部情報のみに依存するのではなく、企業製品に対する攻撃を検出することです。
車両IDS、車両SoCは攻撃情報の収集に役立ちます
Vehicle IDS は、車両にインストールされているコンポーネントまたはソフトウェアであり、車両または車両コンポーネントが攻撃された機器をリアルタイムで検出するために使用されます。車載IDSにはネットワーク型やマネージド型などの種類があり、車両ネットワークを流れるデータやコンポーネントとの通信データ、コンポーネント上で動作するソフトウェアの動作を分析することで、車両に損害を与える可能性のある攻撃を検知します。攻撃者の攻撃に対抗するには、活動を開始する前に攻撃が発生したことを判断する必要があります。そのため、これは、前述のアクティブな攻撃者の存在を考慮すると、今後特に重要な手法となります。
さらに、車両IDSと組み合わせたSoCアプリケーションも検討されています。車載IDSは車両内に設置され、運用リソースが限られているため、複雑かつ大量のデータの分析には適していません。そのため、車載IDSは単純な解析のみを行い、必要なデータをクラウド環境のSoCに送信して複雑な解析を行います(図16参照)。SoC は、複数の車両から送信された大量のデータを分析して攻撃の兆候を確認する役割を果たします。また、SoCは特定の車両に対する攻撃を検知すると、車両に指示を送り通信遮断などの対策を開始し、将来のサイバー攻撃に備えます。
図 16: 車両への攻撃に対するリアルタイムの検出と対応
9. 工場出荷後の安全保護要件 - PSIRT
工場出荷後のセキュリティ活動では、PSIRT活動の本体である「脆弱性対応、ファームウェア更新」および「インシデント対応」を検討します。
工場出荷後の段階でのセキュリティ活動のレビュー
第 8 章で説明したように、車両および車両システムの安全対策は、多くの関係者と協力して、車両のライフサイクル全体にわたって実施する必要があります。中でも、Product Security Initiative Response Team(PSIRT)は、市場使用(アフターセールス)フェーズにおけるセキュリティ対応において重要な役割を果たしています。PSIRT の主な活動には、ISO/SAE 21434 の「ネットワーク セキュリティ監視」、「脆弱性対応、ファームウェア アップデート」、「インシデント対応」が含まれます。
「脆弱性対策・ファームウェアアップデート」キャンペーン
ネットワークセキュリティ監視を通じて、自社製品に関するネットワークセキュリティインシデント事例、脅威情報、脆弱性情報などのネットワークセキュリティ情報を取得・分析し、脆弱性情報の更新が必要と判断した場合には「脆弱性対応、ファームウェアアップデート」活動を実施します。に応じた。
新たに取得した脆弱性情報の内容を評価し、必要な対応を迅速に決定するには、事前に独自の評価基準を用意しておく必要があります。脆弱性情報の評価基準は、標準化団体*1の評価を参考に各社が策定する必要がありますが、「影響度(セキュリティ、財務、利便性、個人情報等への影響)」と「脆弱性情報の可能性」を踏まえる必要があります。 「脆弱性悪用のしにくさ(脆弱性悪用のしにくさ)」「使いやすさ、所要時間など)」などを総合的に評価する枠組みを設けています。例えば、「車両制御ネットワークに任意の不正なCAN*2メッセージを送信する脆弱性」と「車両のナビゲーションが操作できなくなる脆弱性」では、安全性への影響が異なるため、発生確率が同様に、前の脆弱性の重大度は高くなります (図 17 を参照)。
適切な影響評価を行うためには、どの製品のどのバージョンにどのソフトウェア(オープンソースソフトウェア、自社ソフトウェア、サードパーティソフトウェア)やプロトコルが使用されているかの情報を管理し、影響を迅速かつ正確に把握する必要があります。脆弱性情報の影響範囲。
※1 日本の JPCERT が CVSS の脆弱性評価結果を公開しました。
※2 CAN(Controller Area Network):自動車などの電子回路や機器間を接続する通信ネットワーク仕様。
図 17: 脆弱性評価基準表
【脆弱性評価基準マトリックス】 影響度や評価可能なスコアに応じて、脆弱性の重大度(緊急/高/中/低)を設定します。
コンセプト段階および製品開発段階で実行される脅威分析との関係も、脆弱性情報評価の重要な部分です。車両システムに対する外部からの攻撃は、単一の脆弱性情報ではなく複数の脆弱性情報を悪用することがよくあります。脅威分析で暴露される可能性が低く、対応が遅れると分類された特定の脅威シナリオは、新しい脆弱性情報が利用可能になるにつれて、暴露される可能性と優先度が高まる可能性があります。新しい脆弱性情報が入手可能になった場合には、すでに実施されている脅威分析への影響も認識し、適切に反映する必要があります。
インシデント対応活動
新たな脆弱性情報が検出されただけでなく、既に被害が発生している場合(例えば、脆弱性悪用により自社製品が保有する個人情報が漏洩したり、自社製品の構成情報が改ざんされたりした等)、または将来的に被害が発生する可能性が高い場合(例えば、研究者が自社製品を遠隔操作する手法の存在を暴露し、自社と同じ構成の類似製品がハッキングされる等)、 PSIRTを中心に社内で適切に連携する「インシデント対応」活動を、対外的に説明しながら実施するために必要です。
インシデント対応では、PSIRT は製品開発、品質管理、IT などの社内関係者と協力して、被害の規模、追加被害の可能性、規模などの緊急度に基づいてインシデントに優先順位を付けます (インシデントのトリアージ)。優先度が高いと特定されたインシデントは、適切なレベルの管理者に通知され、所定のインシデント対応プロセスに従って対応が実施されます。この一連の処理は PSIRT が主体となって実施しますが、各部門が熟練して対応する必要があるため、事前に訓練しておくとよいでしょう。
検出されたインシデントの原因が特定され、損害を防止 (または最小限に抑える) ための対策が特定されたら、さまざまな関係者と協力してそれらを実装する必要があります。ユーザー所有の車両やシステム (使用法、設定、ソフトウェアなど) に変更を加えるためにユーザーのアクションや承認が必要な場合は特に注意が必要です。
たとえば、「ファームウェアの脆弱性により任意の CAN メッセージがリモートで実行されるため、ファームウェアのアップデートが必要」、「修理のために正規販売店に持ち込む必要がある」、「無線 (OTA) で自動的に実行される」といったケースです。アップデート」ではユーザーの負担が異なります。後者の方がユーザーの負担が少なく、導入しやすいと考えています。これは、アフターマーケット製品を持続可能な方法でスムーズかつ迅速にリフレッシュできるメカニズムが必要であることを意味します。
これらの更新されたメカニズム (図 18 を参照) は、コンセプトおよび製品開発フェーズ中にポリシーをレビューして実装する必要がありますが、PSIRT は、脆弱性およびインシデント対応の経験から適切な推奨事項を導き出し、コンセプトおよび製品開発フェーズ中にインプットを提供する責任も負わなければなりません。
図 18: OTA ファームウェア更新システム
10. クルマの進化のために
このトピックでは、ISO/SAE 21434 の推奨事項に基づいて、車両の開発、製造、納入後に必要なセキュリティ活動について説明します。この章では、セキュリティ活動の一般的な検討をレビューし、各セキュリティ活動間のつながりと連携を再検討します。さらに、このトラックの主題である車両サイバーセキュリティの将来についても説明します。
クルマのライフサイクル全体にわたる安全活動
——ユーザー視点の意味
ISO/SAE 21434 は、車両のライフサイクル全体にわたるサイバーセキュリティ活動に関連するプロセスを定義することを目的としています。車両のライフサイクル全体とは、車両の計画と研究から始まり、設計、実装と検証、製造と輸送、市場での稼働と耐用年数終了に至る、車両の開発と運用に関連するすべての活動を指します。そして、すべての活動においてサイバーセキュリティ対策の導入を要求します。
車両のライフサイクル全体にわたるすべてのプロセスと活動で安全活動が必要となる理由はいくつかあります。その理由の 1 つは、車両のライフサイクルのすべてのプロセスに、安全上のリスクにつながる脆弱性 (安全性の欠陥) が存在する可能性があるためです。これらの脆弱性は、製品の開発段階でも工場の製造段階でも存在する可能性があります。さらに、脆弱性が発見された場合、これらの脆弱性を排除するために車両の市販後のセキュリティ作業が必要になります。車両にはまだ脆弱性が残っていますが、ユーザーが安全上の怪我を負う可能性を排除することはできません。ユーザーが危険にさらされるのを防ぐには、車両のライフサイクル全体にわたってセキュリティ対策を導入する必要があります。
クルマのライフサイクル全体にわたる安全活動
——メーカーから見た意義
車両のライフサイクル全体を通じてセキュリティ活動が必要なもう 1 つの理由は、セキュリティ対策の効率を高めることです。侵害または侵害を発生させた要因の直後ではなく、別のプロセスで措置を講じるのはコストがかかる可能性があることを私たちは知っています (図 19 を参照)。なぜなら、製品開発の後期になるほど、デザインやソースコード、テストデータなどの成果物が増え、その成果物の中から問題となる弱点を見つけ出し、影響を与えないものを見つけ出す必要があるからです。開発された部品を解決し、実際の行動を起こします。ISO/SAE 21434 および自動車のライフサイクル全体を通じて安全活動を実施するためのその他の要件は、ユーザーを安全上の損害から保護するだけでなく、自動車メーカーにとって「効率」という利点を持つ活動を促すものでもあります。自動車メーカーにとっては、自動車のユーザーやメーカーを含む社会全体の利益と同様に、自動車のライフサイクル全体にわたる活動が最適であることが重要になります。
図 19: 開発プロセスが進むにつれて改訂コストが増加
一連のセキュリティ保護対策
これまで車両のライフサイクル全体にわたる活動の重要性を明らかにしてきましたが、各段階における安全活動の関連性をさらに検討していきます。このトピックでは、コンセプト段階、設計段階、実装段階、テスト段階、製造段階、出荷後段階ごとに安全活動を整理します。実際の活動では各段階で人が異なり、実施者も担当者も異なることが多いです。
では、それぞれのセキュリティ活動は独立した活動であるため、セキュリティ活動の実施者や責任者はそれぞれの段階で責任を負うのでしょうか。実際、各段階のセキュリティ活動は独立したものではなく、相互に密接に関連しています。例えば、構想段階で発見された脅威は、セキュリティテスト段階でフォローアップし、必要に応じてテスト項目として評価する必要があります。さらに、工場を出た後の監視活動も監視の範囲に含める必要があります。したがって、製品ライフサイクルのフェーズごとに分けられた活動は、実際には相互に密接に連携する活動となります。
各段階でセキュリティ活動の実施者や担当者は異なりますが、実際には相互協力の活動であることを理解し、実施者と各担当者の情報共有と連携を強化することがセキュリティ活動の基本です。活動。
車両サイバーセキュリティの未来
クルマの未来とは、クルマの相互接続や自動運転の実現など、社会が追求する新たな価値です。こうした新たな価値をもたらすクルマの登場が、人々の暮らしや社会をより良くすることは明らかです。
一方で、私たちの調査から、将来の自動車の開発においては、製品ライフサイクル全体のすべての段階でサイバーセキュリティ対策を確実に実施する必要があることがわかります。あらゆる場所で安全活動が不適切であれば、開発車両またはその所有者の安全性が損なわれる可能性があります。
したがって、サイバーセキュリティ活動が正しく行われていない場合、新しい車両のユーザーは、新しい価値を得ると同時にセキュリティ上の脅威に直面することになります。次世代モビリティ社会を創る者、すなわちクルマの未来を創る者は、ユーザへの価値提供とともに、ユーザを安全性の侵害から守るための車両安全活動を推進する責任があります。自動車の安全活動を推進することによってのみ、私たちは新しい自動車の未来を創造することができます。